本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 第三方資料來源整合 將 CloudWatch 管道與第三方資料來源整合,可讓您將外部安全工具、身分提供者和監控平台連線至 CloudWatch 管道,以進行集中式資料分析。此整合會合併來自多個來源的安全事件、稽核日誌和遙測資料。 **注意** 從第三方來源收集的資料會進行變動,以在 CloudWatch 管道收集時遵循所需的結構描述。CloudWatch 不會保留原始資料來源。 可以使用兩種方法收集第三方資料: 1. **直接 API 整合** – 有些來源提供事件串流 APIs您只需提供 API 登入資料即可設定連接器 1. **S3 儲存貯體整合** – 來自來源的資料可以擷取到客戶管理的 S3 儲存貯體中,以便 CloudWatch 管道收集 下表識別受支援的第三方資料平台所使用的整合方法: | 來源 | 整合模式 | 需要 S3 儲存貯體 | 需要 SQS 佇列 | 使用 Secrets Manager 延伸模組 | 必要的 IAM 政策 | | --- | --- | --- | --- | --- | --- | | CrowdStrike Falcon | S3 交付 | 是 | 是 | 否 | [來源特定的 IAM 政策](pipeline-iam-reference.md#source-specific-iam-policies) | | Microsoft Office 365 | API | 否 | 否 | 是 | [API 呼叫者許可](pipeline-iam-reference.md#api-caller-permissions) | | Okta Auth0 | API | 否 | 否 | 是 | [API 呼叫者許可](pipeline-iam-reference.md#api-caller-permissions) | | Microsoft Entra ID | API | 否 | 否 | 是 | [API 呼叫者許可](pipeline-iam-reference.md#api-caller-permissions) | | Palo Alto Networks 新一代防火牆 | API | 否 | 否 | 是 | [API 呼叫者許可](pipeline-iam-reference.md#api-caller-permissions) | | Microsoft Windows 事件日誌 | API | 否 | 否 | 是 | [API 呼叫者許可](pipeline-iam-reference.md#api-caller-permissions) | | Wiz CNAPP | API | 否 | 否 | 是 | [API 呼叫者許可](pipeline-iam-reference.md#api-caller-permissions) | | Zscaler ZIA/ZPA | S3 交付 | 是 | 是 | 否 | [來源特定的 IAM 政策](pipeline-iam-reference.md#source-specific-iam-policies) | | Okta SSO | API | 否 | 否 | 是 | [API 呼叫者許可](pipeline-iam-reference.md#api-caller-permissions) | | SentinelOne | S3 交付 | 是 | 是 | 否 | [來源特定的 IAM 政策](pipeline-iam-reference.md#source-specific-iam-policies) | | GitHub | API | 否 | 否 | 是 (選用) | [API 呼叫者許可](pipeline-iam-reference.md#api-caller-permissions) | | ServiceNow CMDB | API | 否 | 否 | 是 | [API 呼叫者許可](pipeline-iam-reference.md#api-caller-permissions) | | Cisco Umbrella | S3 交付 | 是 | 是 | 否 | [來源特定的 IAM 政策](pipeline-iam-reference.md#source-specific-iam-policies) | | PingIdentity PingOne | API | 否 | 否 | 是 | [API 呼叫者許可](pipeline-iam-reference.md#api-caller-permissions) | | OneLogin 身分 | API | 否 | 否 | 是 | [API 呼叫者許可](pipeline-iam-reference.md#api-caller-permissions) | | 信任 IDaaS | API | 否 | 否 | 是 | [API 呼叫者許可](pipeline-iam-reference.md#api-caller-permissions) | | Drupal 核心 | API | 否 | 否 | 是 | [API 呼叫者許可](pipeline-iam-reference.md#api-caller-permissions) | 也支援透過 Security Hub CSPM 傳送的第三方整合。如需 Security Hub 第三方整合的完整資訊,包括支援的合作夥伴和具有「傳送調查結果」方向的整合組態,請參閱 [Security Hub 第三方整合文件](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html)。 AWS Security Hub (來自 Security Hub CSPM) 也支援第三方整合作為資料來源。如需支援整合的完整清單,請參閱 [Security Hub 第三方整合文件](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations.html)。 **資料轉換和標準化** 第三方整合支援將資料轉換為標準化格式,以進行一致分析: + **開放式網路安全結構描述架構 (OCSF)** – 將不同廠商的安全事件轉換為通用結構描述,以進行統一的威脅偵測和分析。由於 OCSF 僅適用於特定事件類別,因此並非所有原始事件都會映射至 OCSF。 + **自訂轉換** – 管道處理器,可標準化資料格式、使用其他內容豐富事件,以及篩選相關資訊。 + **欄位映射** – 將廠商特定欄位自動映射至標準化欄位名稱,以進行一致的查詢和分析。 **注意** 在 OCSF 中存放來自第三方來源的遙測資料是一項選用功能,可能無法用於所有資料來源。 **日誌群組** 第三方資料會擷取至 CloudWatch 日誌群組。如果您使用 AWS 管理主控台 來設定日誌群組不存在的 CloudWatch 管道,它會透過精靈程序自動建立。 **身分驗證和安全性** 第三方整合使用安全身分驗證方法來保護傳輸中的資料: + **OAuth 2.0 和應用程式註冊** – 適用於 Microsoft 和 Okta 等雲端平台的安全字符型身分驗證。 + **API 金鑰和憑證** – 用於直接 API 存取的加密身分驗證憑證。 + **IAM 角色和政策** – AWS Identity and Access Management 整合,用於安全的 S3 儲存貯體存取和跨帳戶資料共用。 **注意** 從第三方來源收集的資料會進行變動,以在 CloudWatch 管道收集時遵循所需的結構描述。CloudWatch 不會保留原始資料來源。 每個整合都需要平台特定的組態,才能將安全的資料交付到您的 AWS 環境。 下列各節提供受支援第三方整合的詳細設定程序。每個整合都包含先決條件、組態步驟和驗證程序,以確保適當的資料流程。